SILENTCONNECT utiliza VBScript, PowerShell y enmascaramiento PEB para implementar ScreenConnect

SILENTCONNECT es un cargador de malware de varias etapas recientemente descubierto que ha estado apuntando silenciosamente a máquinas con Windows desde al menos marzo de 2025. Utiliza VBScript, ejecución de PowerShell en memoria y enmascaramiento PEB para instalar la herramienta de administración y monitoreo remoto ConnectWise ScreenConnect en los sistemas víctimas.

Página CAPTCHA de Cloudflare (Fuente: Elastic) Los investigadores de Elastic Security Labs identificaron la campaña a principios de marzo de 2026 después de que una infección de tipo "viviente de la tierra" generara múltiples alertas de comportamiento en un corto período. La descarga inicial de VBScript desencadenó una regla de detección de script sospechoso de Windows descargado de Internet, lo que brindó a los analistas un punto de pivote para rastrear la infección utilizando los campos URL de origen del archivo. El VBScript se alojó en el almacenamiento r2.dev de Cloudflare, mientras que la payload de C# se obtuvo de Google Drive, dos plataformas confiables que es poco probable que la mayoría de las defensas de la red bloqueen. SILENTCONNECT se integra con la actividad normal de Windows para permanecer fuera del radar.

Con la dirección PEB en la mano, SILENTCONNECT realiza el enmascaramiento de PEB localizando su propia entrada de la lista de módulos y sobrescribiendo los campos BaseDLLName y FullDllName para mostrar winhlp32.exe y c:windowswinhlp32.exe. La publicación SILENTCONNECT utiliza VBScript, PowerShell y PEB enmascaramiento para implementar ScreenConnect apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗